Новости / апрель 2019
Рубрики: Информационная безопасность

Онлайн-банки стали не так критично уязвимы

Влада Сюткина
© ComNews
08.04.2019

Главной позитивной тенденцией в безопасности финансовых онлайн-приложений в 2018 г. стало сокращение доли уязвимостей высокого уровня риска в общем количестве всех выявленных недостатков: она уменьшилась вдвое по сравнению с предыдущим годом. Однако в целом уровень защищенности приложений онлайн-банкинга остается низким. Об этом заявили специалисты Positive Technologies, проведя исследование защищенности веб-приложений для дистанционного обслуживания клиентов банков из РФ и Восточной Европы.

Как указывается в исследовании, 54% из обследованных систем позволяют злоумышленникам похитить денежные средства, а угрозе несанкционированного доступа к личным данным и банковской тайне подвержены все онлайн-банки. "По данным проведенного анализа, большинство изученных онлайн-банков содержат критически опасные уязвимости. В результате работ по оценке защищенности онлайн-банков в каждой исследованной системе были обнаружены уязвимости, которые могут привести к серьезным последствиям", - отмечается в исследовании.

Угроза несанкционированного доступа к информации клиентов и банковской тайне, например к выпискам по счету или платежным поручениям других пользователей, как поясняется в исследовании, оказалась актуальной для каждого исследованного онлайн-банка, а в отдельных случаях уязвимости позволяли развивать атаку на ресурсы корпоративной сети банка. "Исследования Positive Technologies показывают, что данные входят в топ наиболее популярных для продажи в дарквебе продуктов. При этом непосредственно на долю учетных данных и данных банковских карт приходится более 80% в общем объеме продающихся данных. Средняя стоимость данных одного пользователя онлайн-банка составляет $22", - рассказывается в исследовании.

В 77% обследованных онлайн-банков были обнаружены недостатки реализации механизмов двухфакторной аутентификации. По словам аналитика Positive Technologies Яны Авезовой, в некоторых онлайн-банках одноразовые пароли для критически важных действий (например, для аутентификации) не применяются или имеют слишком большой срок действия. Эксперты связывают это с тем, что банки стремятся найти баланс между безопасностью и удобством использования.

Вместе с тем, по словам руководителя группы исследования безопасности банковских систем Positive Technologies Ярослава Бабина, отказ даже от части мер безопасности в пользу удобства повышает риск совершения мошеннических операций. "Если нет необходимости подтверждать операцию с помощью одноразового пароля, злоумышленнику больше не требуется доступ к мобильному телефону жертвы, а слишком большой срок действия пароля повышает шанс его успешного подбора, поскольку при отсутствии ограничений на подбор одноразовый пароль из четырех символов можно подобрать за считанные минуты", - пояснил Ярослав Бабин.

Как показал сравнительный анализ, изученные готовые решения, предлагаемые вендорами, содержат в три раза меньше уязвимостей, чем системы, разработанные банками самостоятельно. А вот количество уязвимостей в продуктивных и тестовых системах сравнялось: согласно статистике, в 2018 г. оба эти типа систем в большинстве случаев содержат как минимум одну критически опасную уязвимость. "Разработчики, единожды протестировав систему на безопасность, склонны откладывать повторный анализ защищенности после внесения изменений в программный код, что неминуемо приводит к накоплению уязвимостей, и со временем их число становится сопоставимо с тем, которое было обнаружено при первичной проверке", - указывается в исследовании.

Главной позитивной тенденцией в безопасности финансовых онлайн-приложений в 2018 г., по данным исследования, стало сокращение доли уязвимостей высокого уровня риска в общем числе всех выявленных недостатков. По данным специалистов Positive Technologies, доля критически опасных уязвимостей снизилась вдвое по сравнению с предыдущим годом. Однако в целом уровень защищенности онлайн-банков остается низким.

Говоря с корреспондентом ComNews о результатах исследования Positive Technologies, руководитель направления Solar app Screener компании "Ростелеком-Solar" Даниил Чернов сказал следующее: "Мы в целом согласны с выводами данного исследования: действительно, доля критических уязвимостей в финансовых приложениях постепенно снижается. Происходит это прежде всего потому, что финансовая сфера находится в авангарде внедрения систем анализа защищенности разрабатываемого банками программного обеспечения (ПО). Двумя основными драйверами внедрения подобных систем в российской банковской сфере являются высокая финансовая привлекательность банка как объекта атаки, а также наиболее жесткая зарегулированность этой отрасли".

Относительно ситуации с критическими уязвимостями онлайн-приложений российских банков и про их уязвимости в целом Даниил Чернов сказал следующее: "На мой взгляд, доля высококритичных уязвимостей продолжит снижаться. Что же касается общего количества уязвимостей, здесь все будет зависеть от того, насколько активно банки будут внедрять процесс автоматизации проверок кода разрабатываемых приложений. Если этот процесс будет двигаться медленно, то общее количество уязвимостей будет расти. Ведь в рамках собственной разработки финансовые организации создают большие объемы кода, а требования к скорости разработки софта сегодня очень высокие. Поэтому если процессы анализ кода на уязвимости не будут автоматизированы, то количество брешей в ПО будет расти".

Беседуя с корреспондентом ComNews, Даниил Чернов также заметил, что системы дистанционного банковского обслуживания (ДБО) традиционно являются одним из самых популярных каналов для атаки на банки. "Для последних это чревато прямыми финансовыми потерями, оттоком клиентов и серьезными репутационными рисками", - отметил Даниил Чернов.

Он также рассказал корреспонденту ComNews о том, каким образом компания "Ростелеком-Solar" помогает бороться российским банкам с атаками на их финансовые онлайн-приложения через ДБО: "Во-первых, наша компания предоставляет финансовым организациям инструмент для статического анализа кода на уязвимости Solar app Screener, а также комплекс услуг по проверке защищенности онлайн-приложений. Кроме того, "Ростелеком-Solar" осуществляет круглосуточный мониторинг и оперативное реагирование на кибератаки, в том числе на системы ДБО и онлайн-приложения финансовых организаций в рамках центра мониторинга SolarJSOC".

Что касается того, разработанное собственными силами или стороннее финансовое онлайн-приложение для российского банка является лучшим выбором, Даниил Чернов сказал: "Не важно, разрабатывает банк ПО самостоятельно или пользуется услугами сторонних разработчиков. Главное - иметь в арсенале инструменты проверки софта на наличие уязвимостей, либо в собственных стенах, либо на стороне подрядчика".

Руководитель отдела продвижения продуктов ООО "Код безопасности" Павел Коростелев заявил корреспонденту ComNews следующее: "Мы фиксируем постепенное улучшение ситуации, связанной с безопасностью систем ДБО. Это связано с повышением внимания банков к безопасности своих прикладных систем, а также с вниманием регулятора к этой теме".

Касательно динамики количества критических уязвимостей финансовых онлайн-приложений российских банков в 2019 г. и их уязвимостей в целом Павел Коростелев заметил: "Общий прогноз дать трудно, это зависит от конкретных планов конкретных кредитных организаций по внедрению новых сервисов. Чем масштабнее обновления - тем выше вероятность появления уязвимостей".

Павел Коростелев также обратил внимание корреспондента ComNews на то, что через ДБО, как правило, атакуются не банки, а их клиенты. "Это серьезная проблема, решению которой уделяется повышенное внимание. Для дополнительной мотивации Центральный банк планирует обновить методику расчета операционного риска, добавив туда риск кибербезопасности. В этом случае при слабом уровне развития информационной безопасности (ИБ) банк должен будет начислять соответствующие резервы сообразно рискам", - отметил он.

Говоря с корреспондентом ComNews, начальник отдела по противодействию мошенничеству центра прикладных систем безопасности АО "Инфосистемы Джет" Алексей Сизов заметил, что тенденции к уменьшению критических уязвимостей действительно есть. "При этом нужно понимать, что усовершенствование защиты и повышение уровня защищенности приложений не всегда так же отражаются на количестве противоправных действий и атак. Многие аспекты атак лежат в области бизнес-процессов, внутренних регламентов и элементов социальной инженерии, а защита от угроз такого рода не связана с качеством разработки самого приложения. Для сравнения: с совершенствованием систем безопасности автомобилей увеличивается скорость их движения, и на аварийности отражается не эта совокупность, а ограничения на дорожных знаках, которые слабо корректируются с развитием технологий", - рассказал Алексей Сизов.

Относительно атак злоумышленниками российских банков через ДБО он сказал: "С каждым годом количество атак не снижается. Меняются векторы атак, ощущается снижение их успешности, однако мошенники становятся более изощренными и гораздо чаще при атаках на приложения или технологии применяют методы, подразумевающие эксплуатацию слабостей человека. То есть используются методы социальной инженерии, когда сам клиент осуществляет действия со своим счетом, выгодные злоумышленнику". 

Для противодействия атакам злоумышленников российских банков через ДБО, на взгляд Алексея Сизова, необходимо усиливать и усложнять методы идентификации и аутентификации пользователей, более детально оценивать риски новых процессов и предлагаемых продуктов, выстраивать эшелонированные рубежи защиты: антифрод, схемы дополнительных проверок высокорисковых операций и прочее. 

По словам вице-президента, директора по безопасности ПАО "Почта банк" Станислава Павлунина, в нынешней ситуации для повышения безопасности банкам необходимо уделять больше внимания относительно новому направлению - Аpplication Security (набор процедур, направленных на выпуск и анализ безопасного программного кода с целью раннего исправления уязвимостей и предотвращения их возникновения). "Однако направления Аpplication Security стали появляться в банках относительно недавно и лишь у небольшого количества серьезных игроков, которые активно развивают digital-каналы привлечения клиентов", - заметил Станислав Павлунин.